
Konfiguration verbessert die Sicherheit + cirosec hat verschiedene Parental-Control-Apps untersucht. Dabei wurde von cirosec-Berater Kai Kunschke eine Reihe von Schwachstellen in den Parental-Control-Apps ESET Parental Control, Kaspersky Safe Kids und Symantec Norton Family sowie der App Sophos Mobile Security entdeckt. Die Apps wurden vom Institut AV-TEST zertifiziert. Sophos Mobile Security erhielt sogar den AV-TEST AWARD BEST ANDROID SECURITY 2016.
Diese Apps bieten u.a. Funktionen zur Filterung der im Browser aufgerufenen Webseiten. Um eine Kategorisierung einer Webseite vorzunehmen, wurde die aufgerufene URL – außer bei ESET Parental Control – an einen Webservice des App-Herstellers gesendet. Benutzer dieser Apps sollten sich also im Klaren darüber sein, dass das Surfverhalten des Anwenders preisgegeben wird. Darüber hinaus waren die Apps von Symantec und Sophos anfällig für Man-in-the-Middle-Angriffe, da die Kommunikation zum Webservice des Herstellers unverschlüsselt erfolgte. Symantec Norton Family versendete die URL sogar im Klartext (CVE-2017-15530), während Sophos Mobile Security die URL lediglich mit ROT13 „verschlüsselt“ versendete (CVE-2018-6325).
Außerdem befanden sich in allen untersuchten Apps grobe Fehler in der Verarbeitung von Intents, die zum Absturz der Apps führten. Durch den Absturz der Apps wurden die konfigurierten Kontrollmechanismen temporär außer Kraft gesetzt (CVE-2017-15529, CVE-2018-6326, CVE-2018-6327).
Ebenso konnten der Safe Mode von Android, die Mehrbenutzerfunktionen oder die Debug-Schnittstelle adb verwendet werden, um die Apps zu umgehen. Kaspersky Safe Kids ließ sich auf triviale Art umgehen, indem ein anderes Benutzerprofil ausgewählt wurde. ESET Parental Control verhinderte dies, indem es die Mehrbenutzerfunktionalität gänzlich außer Kraft setzte. Lediglich Symantec Norton Family wies Eltern darauf hin, wie das Gerät eingerichtet werden muss, um solche Angriffe zu verhindern.
Generell lässt sich sagen, dass viele Funktionen dieser Apps mit dem Sicherheitsmodell der Android-Plattform kollidierten. So konnte eine Dritthersteller-App beispielsweise die eigene Deinstallation nicht effektiv verhindern.
Eventuell verstößt das Verhindern der Deinstallation sogar gegen die Android-Entwicklerrichtlinien. Ohne ein Verhindern der Deinstallation können Kontrollfunktionen aber nicht aufrechterhalten werden.
Anwendern, die ihr Android-Gerät schützen möchten, wird empfohlen, einen sicheren Lockscreen zu konfigurieren und die Funktionen Find My Device (Diebstahlschutz) und Play Protect (Integrität des Gerätes) zu aktivieren.
Fachartikel

ChatGPT bei der Arbeit nutzen? Nicht immer eine gute Idee

Das Aktualisieren von Software-Agenten als wichtige Praktik der Cyberhygiene auf MSP-Seite

Kosteneinsparungen und Optimierung der Cloud-Ressourcen in AWS

CVE-2023-23397: Der Benachrichtigungston, den Sie nicht hören wollen

Wie sich kleine und mittlere Unternehmen proaktiv gegen Ransomware-Angriffe wappnen
Studien

Studie zeigt 193 Millionen Malware-Angriffe auf Mobilgeräte von Verbrauchern im EMEA-Raum

2023 State of the Cloud Report

Trotz angespannter Wirtschaftslage: die Security-Budgets steigen, doch der IT-Fachkräftemangel bleibt größte Hürde bei Erreichung von Security-Zielen

BSI-Studie: Viele Software-Produkte für Onlineshops sind unsicher

Wie Cloud-Technologie die Versicherungsbranche revolutioniert
Whitepaper

Aufkommende Trends in der externen Cyberabwehr

Cyber-Sicherheit für das Management – Handbuch erhöht Sicherheitsniveau von Unternehmen

Aktueller Datenschutzbericht: Risiko XXL am Horizont

Vertrauen in die Lieferkette durch Cyber-Resilienz aufbauen

TXOne Networks und Frost & Sullivan veröffentlichen Jahresbericht 2022 über aktuelle Cyberbedrohungen im OT-Bereich
Unter4Ohren

Optimierung der Cloud-Ressourcen und Kosteneinsparungen in AWS

DDoS – der stille Killer

Continuous Adaptive Trust – mehr Sicherheit und gleichzeitig weniger mühsame Interaktionen

Datenschutz und -kontrolle in jeder beliebigen Cloud bei gleichzeitiger Kostensenkung, Reduzierung der Komplexität, Verbesserung der Datenverfügbarkeit und Ausfallsicherheit
